¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Configure el VLAN privado y el UCS con VMware DV o el nexo 1000v de Cisco

Opciones de descarga

  • PDF     (416.2 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (701.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.4 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:9 de diciembre de 2019
ID del documento:201045
Acerca de la traducción

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el soporte del VLAN privado (PVLAN) para el Cisco Unified Computing System (UCS) en 2.2(2c) la versión y posterior.

    Precaución: Hay un cambio en el comportamiento que comienza con la versión de firmware UCS 3.1(3a) según lo descrito en el cambio del comportamiento con la sección de la versión 3.1(3) y posterior UCS.

    Prerrequisitos

    Requisitos

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • UCS
    • El nexo 1000V (N1K) o VMware de Cisco distribuyó el switch virtual (los DV)
    • VMware
    • Transferencia de la capa 2 (L2)

    Componentes Utilizados

    Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

    Antecedentes

    Un VLAN privado es un VLA N configurado para el aislamiento L2 de otros puertos dentro del mismo VLAN privado. Los puertos que pertenecen a un PVLAN se asocian a un conjunto común de VLA N del soporte, que se utilizan para crear la estructura PVLAN.

    Hay tres tipos de puertos PVLAN:

    • Un puerto promiscuo comunica con el resto de los puertos PVLAN y es el puerto usado para comunicar con los dispositivos fuera del PVLAN.
    • Un puerto aislado tiene separación completa L2 (que incluya los broadcasts) de otros puertos dentro del mismo PVLAN a excepción del puerto promiscuo.
    • Un puerto de la comunidad puede comunicar con otros puertos en el mismo PVLAN así como el puerto promiscuo. Los puertos de la comunidad se aíslan en el L2 de los puertos en otras comunidades o puertos aislados PVLAN. Los broadcasts se propagan solamente a otros puertos en la comunidad y el puerto promiscuo.

    Refiera al RFC 5517, los VLAN privados de los Cisco Systems: Seguridad scalable en un entorno multicliente para entender la teoría, la operación, y los conceptos de PVLAN.

    Configurar

    Diagrama de la red

    Con el nexo 1000v o VMware DV

    Nota: Este ejemplo utiliza el VLA N 1750 como el primario, 1785 según lo aislado y 1786 como VLAN de comunidad.

    UCS con VMware DV

    1. Para crear el VLAN principal, haga clic el botón de radio primario como el tipo de distribución, y ingrese un VLAN ID de 1750 tal y como se muestra en de la imagen.

    2. Cree aislado y los VLAN de comunidades por consiguiente tal y como se muestra en de las imágenes. Ningunos de éstos tienen que ser un VLAN nativo.

    3. La tarjeta de interfaz de la red virtual (vNIC) en el servicio-perfil lleva los VLA N así como los PVLAN regulares, como se ve en la imagen.

    4. El canal del puerto del uplink en el UCS lleva los VLA N así como los PVLAN regulares:

    interface port-channel1
description U: Uplink
switchport mode trunk
pinning border
switchport trunk allowed vlan 1,121,221,321,1750,1785-1786
speed 10000

F240-01-09-UCS4-A(nxos)#


F240-01-09-UCS4-A(nxos)# show vlan private-vlan
Primary Secondary Type Ports
------- --------- --------------- -------------------------------------------

1750     1785          isolated
1750     1786          community

    VMware DV

    Switch de la conexión en sentido ascendente N5k

    feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

 

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community

 

 

interface Vlan1750

ip address 10.10.175.252/24 private-vlan mapping 1785-1786

no shutdown

 

interface port-channel114

Description To UCS
switchport mode trunk
switchport trunk allowed vlan 1,121,154,169,221,269,321,369,1750,1785-1786
spanning-tree port type edge
spanning-tree bpduguard enable
spanning-tree bpdufilter enable
vpc 114 <=== if there is a 5k pair in vPC configuration only then add this line to both N5k

    Cambio del comportamiento con la versión 3.1(3) UCS

    Antes de la versión 3.1(3) UCS, usted podría hacer que un VM en el VLAN de comunidad comunique con un VM en el VLAN principal en VMware DV donde el VLAN principal VM reside dentro del UCS. Este comportamiento era tan incorrecto que el VM primario debe siempre ser en dirección del norte o exterior del UCS. Este comportamiento se documenta vía el ID del defecto CSCvh87378 .

    De la versión 2.2(2) UCS hacia adelante, debido a un defecto en el código, el VLAN de comunidad podía comunicar con el VLAN principal que estaba presente detrás del FI. Pero aislado podía nunca comunicar con el primario detrás del FI. Ambos (aislado y comunidad) VM pueden todavía comunicar con el primario fuera del FI.

    A partir de la 3.1(3) hacia adelante, este defecto permite que la comunidad comunique con primario detrás del FI, fue rectificado y la comunidad VM no podrá así comunicar con un VM en el VLAN principal que reside dentro del UCS.

    Para resolver esta situación, el VM primario cualquier necesidad de ser movido (en dirección del norte) fuera del UCS. Si eso no es una opción, después el VM primario necesitaría ser trasladado a otro VLA N que es un VLA N regular y no un VLAN privado.

    Por ejemplo, antes del firmware 3.1(3), un VM en el VLAN de comunidad 1786 podría comunicar a un VM en el VLAN principal 1750 que reside dentro del UCS, sin embargo, esta comunicación adaptaría el firmware 3.1(3) y posterior, tal y como se muestra en de la imagen.

    NOTA:

    -----------

    CSCvh87378 se ha dirigido en 3.2(3l) y 4.0.4e y más arriba así que podemos tener Vlan primario detrás del UCS. Al menos satisfaga observan que el VLAN aislado dentro del UCS no podrá hablar con el UCS interior vlan primario. Vlan vlan y primario solamente de la comunidad puede hablar el uno al otro cuando ambos están detrás de UCS.

    4900 Switch por aguas arriba

    Nota: En este ejemplo, 4900 es la interfaz L3 a la red externa. Si su topología para el L3 es diferente, después realice amablemente los cambios por consiguiente

    En el 4900 Switch, tome estas medidas, y configure el puerto promiscuo. Los extremos PVLAN en el puerto promiscuo.

    1. Gire la función PVLAN si procede.
    2. Cree y asocie los VLA N según lo hecho en el nexo 5K.
    3. Cree el puerto promiscuo en el puerto de egreso del 4900 Switch. Desde aquí, los paquetes del VLA N 1785 y 1786 se ven en el VLA N 1750 en este caso.
    Switch(config-if)#switchport mode trunk
    switchport private-vlan mapping 1785-1786
    switchport mode private-vlan promiscuous

    En el router ascendente, cree una subinterfaz para el VLA N 1750 solamente. A este nivel, los requisitos dependen de la configuración de red que usted utiliza:

    interface GigabitEthernet0/1.1

encapsulation dot1Q 1750

IP address10.10.175.254/24

    Verificación

    Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

    Troubleshooting

    Esta sección brinda información que puede utilizar para la solución de problemas en su configuración.

    Este procedimiento describe cómo probar la configuración para VMware DV con el uso del PVLAN.

    1. Funcione con los ping a otros sistemas configurados en el grupo de puertos así como el router o el otro dispositivo en el puerto promiscuo. Los ping al dispositivo más allá del puerto promiscuo deben trabajar, mientras que ésos a los otros dispositivos en el VLAN aislado deben fallar tal y como se muestra en de las imágenes.

    Marque las tablas de la dirección MAC para ver donde está estando docto su MAC. En todo el Switches, el MAC debe estar en el VLAN aislado excepto en el Switch con el puerto promiscuo. En el Switch promiscuo, el MAC debe estar en el VLAN principal.

    2. UCS tal y como se muestra en de la imagen.

    3. Compruebe la conexión en sentido ascendente n5k para el mismo MAC, salida similar para hacer salir anterior debe estar presente en n5k y tal y como se muestra en de la imagen.

    Configuración con el nexo 1000v con el puerto promiscuo en la conexión en sentido ascendente N5k

    Configuración UCS

    La configuración UCS (que incluye la configuración del vNIC del servicio-perfil) permanece lo mismo según el ejemplo con VMware DV.

    Configuración N1k

    feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community


same uplink port-profile is being used for regular vlans & pvlans. In this example vlan 121 & 221 are regular vlans but you can change them accordingly

port-profile type ethernet pvlan-uplink-no-prom
switchport mode trunk
mtu 9000
switchport trunk allowed vlan 121,221,1750,1785-1786
channel-group auto mode on mac-pinning

system vlan 121 no shutdown state enabled vmware port-group

port-profile type vethernet pvlan_1785
switchport mode private-vlan host
switchport private-vlan host-association 1750 1785
switchport access vlan 1785
no shutdown
state enabled
vmware port-group

port-profile type vethernet pvlan_1786 switchport mode private-vlan host switchport access vlan 1786 switchport private-vlan host-association 1750 1786 no shutdown state enabled vmware port-group

    Este procedimiento describe cómo probar la configuración.

    1. Funcione con los ping a otros sistemas configurados en el grupo de puertos así como el router o el otro dispositivo en el puerto promiscuo. Los ping al dispositivo más allá del puerto promiscuo deben trabajar, mientras que ésos a los otros dispositivos en el VLAN aislado deben fallar, tal y como se muestra en de la sección anterior y en las imágenes.

    2. En el N1K, los VM se enumeran en el VLAN principal; esto ocurre porque usted está en los puertos de host PVLAN que se asocian al PVLAN tal y como se muestra en de la imagen.

    Marque las tablas de la dirección MAC para ver donde está estando docto su MAC. En todo el Switches, el MAC debe estar en el VLAN aislado excepto en el Switch con el puerto promiscuo. En el Switch promiscuo el MAC debe estar en el VLAN principal.

    3. En el sistema UCS, usted debe aprender todos los MAC en sus VLAN privados respectivos tal y como se muestra en de la imagen.

    4. Compruebe la conexión en sentido ascendente n5k para el mismo MAC, salida similar para hacer salir anterior debe estar presente en n5k tal y como se muestra en de la imagen.

      

    Configuración con el nexo 1000v con el puerto promiscuo en el Puerto-perfil del uplink N1K

    Puesto que el PVLAN termina en el puerto promiscuo, en esta configuración, usted contiene el tráfico PVLAN al N1K con solamente la conexión en sentido ascendente usada VLAN principal. Tan el UCS y los dispositivos ascendentes no son conscientes de ninguna PVLAN.

    Configuración UCS

    Este procedimiento describe cómo agregar el VLAN principal al vNIC. No hay necesidad de la configuración de PVLAN porque usted necesita solamente el VLAN principal.

    Nota: Este ejemplo utiliza 1750 como el primario, 1785 según lo aislado y 1786 como VLAN de comunidad según lo también mostrado en la imagen.

    Configuración de los dispositivos ascendentes

    Estos procedimientos describen cómo configurar los dispositivos ascendentes. En este caso, el Switches por aguas arriba necesita solamente los puertos troncales, y él necesita solamente el VLA N 1750 del trunk porque es el único VLA N que el Switches de la conexión en sentido ascendente considera.

    En el nexo 5K, funcione con estos comandos, y la configuración del uplink del control:

    1. Agregue el VLA N como primario: 
      Nexus5000-5(config-vlan)# vlan 1750
    2. Asegúrese de que todo el uplinks sea para trunk configurado los VLA N.

    Configuración de N1K

    Este procedimiento describe cómo configurar el N1K:

    feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

 

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community

 

 

same uplink port-profile is being used for regular vlans & pvlans. In this example vlan 121 & 221 are regular vlans but you can change them accordingly

 

port-profile type ethernet pvlan-uplink
switchport mode private-vlan trunk promiscuous

switchport trunk allowed vlan 121,221,1750
switchport private-vlan trunk allowed vlan 121,221,1750 <== Only need to allow Primary VLAN

switchport private-vlan mapping trunk 1750 1785-1786 <=== PVLANs must be mapped at this stage
mtu 9000
channel-group auto mode on mac-pinning
no shutdown
system vlan 121
state enabled
vmware port-group

 

port-profile type vethernet pvlan_1785
switchport mode private-vlan host
switchport private-vlan host-association 1750 1785
switchport access vlan 1785
no shutdown
state enabled
vmware port-group



port-profile type vethernet pvlan_1786
switchport mode private-vlan host
switchport access vlan 1786
switchport private-vlan host-association 1750 1786
no shutdown
state enabled
vmware port-group

    El PVLAN debe terminar en el puerto promiscuo en el puerto-perfil del uplink para n1k y el UCS y todo el dispositivo ascendente debe considerar posteriormente esos VM en los VLAN principales. Aquí está la foto de la conexión en sentido ascendente N5k y UCS.

    Pocas cosas a recordar:

    el comando trunk del private-vlan mapping no decide ni reemplaza la configuración del tronco de un puerto.

    • el puerto se configura ya en un modo tronco regular antes de que usted agregue las configuraciones del tronco PVLAN
    • los VLAN principales se deben agregar a la lista de VLA N permitido para el puerto troncal promiscuo
    • los VLAN secundarios no se configuran en la lista de VLAN permitida
    • el puerto troncal puede llevar los VLA N normales además de los VLAN principales
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Qamar Anwar
      Ingeniero de Cisco TAC

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Discusiones relacionadas con la comunidad de Cisco

    Este documento se aplica a estos productos

    Acerca de Cisco
    Contáctenos
    Trabaje con Nosotros